Para protegerte contra intentos de acceso no deseados a tu cuenta o sitio, asegúrate de haber establecido una contraseña segura en tu cuenta y de haber activado la autenticación en dos pasos. También puedes proteger tu sitio frente a los ataques de fuerza bruta, lo que te explicamos en esta guía.
Los ataques de fuerza bruta son un método que utilizan los hackers para explotar las vulnerabilidades de código en las webs de WordPress. Mediante grandes redes de ordenadores conocidas como «botnets», los hackers intentan acceder a tu sitio aplicando varias combinaciones de nombres de usuario y contraseñas hasta que dan con la correcta.
Hay dos métodos principales para acceder a una web de WordPress:
- wp-login es la página de acceso de WordPress ubicada en
/wp-login.php. En WordPress.com, puedes acceder de forma segura con tus credenciales de WordPress.com. - XMLRPC es un método utilizado por aplicaciones externas para autenticar e interactuar con WordPress.
Ambos métodos son vulnerables a los ataques de bots que intentan acceder a las webs. Por eso nuestro plugin de Jetpack protege ambos métodos frente a los ataques de fuerza bruta en WordPress.com. De media, Jetpack bloquea más de 5000 ataques de fuerza bruta en WordPress durante la vida útil de un sitio.
Siempre habrá alguien o algo intentando acceder a tu sitio, independientemente de su tamaño. Si lo consiguen, los ataques de fuerza bruta pueden ralentizar tu sitio o impedir que responda y dar a los hackers acceso no autorizado al contenido y los datos de tu sitio.
La protección contra ataques de fuerza bruta en WordPress.com bloquea los intentos de acceso no deseados de los ataques de fuerza bruta tradicionales y distribuidos, lo que ayuda a mantener tu sitio seguro desde el momento en que se crea.
La protección contra ataques de fuerza bruta te permite:
- Bloquear automáticamente las direcciones IP sospechosas antes de que lleguen a tu sitio
- Incluir las IP de confianza en una lista de permitidos para evitar falsos positivos
- Activar o desactivar la función según sea necesario
Jetpack utiliza datos de millones de sitios para detectar y detener las amenazas. Por ejemplo, si un bot no consigue acceder a un sitio, será bloqueado por otros antes de que pueda siquiera intentar acceder.
Esta sección de la guía se aplica a los sitios con el plan Business y Commerce de WordPress.com, y el plan Pro heredado. Si tienes un plan Business, asegúrate de activarlo. Para los sitios con los planes gratuito, Personal y Premium, mejora tu plan para acceder a esta función.
Si tienes un sitio alojado en WordPress.com no puedes desactivar el plugin de Jetpack, ya que al hacerlo se interrumpiría el acceso a tu sitio y se eliminarían las funciones esenciales que proporciona. Jetpack se gestiona de manera automática para que podamos seguir garantizando una seguridad y un rendimiento máximos en tu sitio.
Sin embargo, puedes desactivar funciones concretas de Jetpack que creas que pueden estar causando un conflicto. La protección contra ataques de fuerza bruta se activa por defecto al crear tu web de WordPress.com.
Puedes desactivar y reactivar la función siguiendo estos pasos:
- Dirígete al escritorio de tu sitio.
- Ve a Jetpack → Ajustes.
- Haz clic en la pestaña Seguridad.
- Desplázate hasta la sección «Protección contra ataques de fuerza bruta» y activa o desactiva esta función:
Puedes añadir direcciones IP a una lista de permitidos para evitar que se bloqueen. Esto es útil si has tenido varios intentos de acceso fallidos o si Jetpack ha marcado actividad inusual desde tu IP actual.
Para añadir una dirección IP a la lista de permitidos de tu sitio, sigue estos pasos:
- Dirígete al escritorio de tu sitio.
- Ve a Jetpack → Ajustes.
- Haz clic en la pestaña Seguridad.
- Desplázate hacia abajo hasta la sección «Direcciones IP siempre permitidas».
- Activa el ajuste.
- Añade las direcciones IP que quieras permitir (separadas por una coma). Se aceptan direcciones IPv4 e IPv6. Para especificar un intervalo, introduce el valor de inicio y fin separados por un guión. Ejemplo:
12.12.12.1-12.12.12.100 - (Opcional) Haz clic en el botón «Añadir a lista de permitidos» para añadir tu dirección IP actual a la lista.
